Перемещение рабочей области Log Analytics в другую подписку или группу ресурсов

В этой статье вы узнаете, как переместить рабочую область Log Analytics в другую группу ресурсов или подписку в том же регионе. Сведения о перемещении рабочей области между регионами см. в статье "Перемещение рабочей области Log Analytics в другой регион".

Совет

Дополнительные сведения о том, как перемещать ресурсы Azure через портал Azure, PowerShell, Azure CLI или REST API, см. в статье "Перемещение ресурсов в новую группу ресурсов или подписку".

Необходимые компоненты

• Подписка или группа ресурсов, в которой требуется переместить рабочую область Log Analytics, должна находиться в том же регионе, что и рабочая область Log Analytics, которую вы перемещаете.
• Операция перемещения требует, чтобы никакие службы не могли быть связаны с рабочей областью. Перед перемещением удалите решения, использующие связанные службы, включая учетную запись служба автоматизации Azure. Эти решения необходимо удалить, прежде чем можно отменить связь с учетной записью службы автоматизации. Сбор данных для решений остановится, а их таблицы будут удалены из пользовательского интерфейса, но данные остаются в рабочей области в течение периода хранения, определенного для таблицы. При добавлении решений после перемещения прием восстановлен и таблицы становятся видимыми с данными. Связанные службы включают:
  • Управление обновлениями
  • Отслеживание изменений
  • Запуск и остановка виртуальных машин в нерабочее время
  • Microsoft Defender для облака
• Подключенные агенты Log Analytics и агент Azure Monitor остаются подключенными к рабочей области после перемещения без прерывания приема.
• Оповещения следует повторно создать после перемещения, так как разрешения для оповещений основаны на идентификаторе ресурса рабочей области, который изменяется при перемещении. Оповещения, созданные после 1 июня 2019 г. или в рабочих областях, которые были обновлены с устаревшего API оповещений Log Analytics до API scheduledQueryRules, можно экспортировать в шаблоны и развернуть после перемещения. Можно проверить, используется ли API scheduleQueryRules для оповещений в вашей рабочей области. Кроме того, вы можете настроить оповещения вручную в целевой рабочей области.
• Обновите пути к ресурсам после перемещения рабочей области для Azure или внешних ресурсов, указывающих на рабочую область. Например: правила генерации оповещений Azure Monitor, сторонние приложения, пользовательские сценарии и т. д.

Требуемые разрешения

Действие	Требуемые разрешения
Проверьте клиент Microsoft Entra.	Microsoft.AzureActiveDirectory/b2cDirectories/readразрешения, предоставляемые встроенной ролью Средства чтения Log Analytics, например.
Удаление решения.	Microsoft.OperationsManagement/solutions/delete разрешения на решение, как указано встроенной ролью участника Log Analytics, например.
Удалите правила генерации оповещений для решения "Запуск и остановка виртуальных машин".	microsoft.insights/scheduledqueryrules/delete разрешения, предоставляемые встроенной ролью участника мониторинга.
Отмена связывания учетной записи службы автоматизации	Microsoft.OperationalInsights/workspaces/linkedServices/delete разрешения на связанную рабочую область Log Analytics, как указано встроенной ролью Участника Log Analytics, например.
Перемещение рабочей области Log Analytics.	Microsoft.OperationalInsights/workspaces/delete и Microsoft.OperationalInsights/workspaces/write разрешения для рабочей области Log Analytics, как указано встроенной ролью участника Log Analytics, например.

Рекомендации и ограничения

Прежде чем переместить рабочую область Log Analytics, рассмотрите следующие моменты:

• Операция в Azure Resource Manager может занять несколько часов. Решения могут не отвечать во время операции.
• Управляемые решения, установленные в рабочей области, также будут перемещены.
• Управляемые решения являются объектами рабочей области и не могут быть перемещены независимо.
• Ключи рабочей области (как первичные, так и вторичные) повторно создаются с помощью операции перемещения рабочей области. Если вы храните копию ключей рабочей области в Azure Key Vault, обновите их новыми ключами, созданными после перемещения рабочей области.

Внимание

Клиенты Microsoft Sentinel

• В настоящее время после развертывания Microsoft Sentinel в рабочей области перемещение этой рабочей области в другую группу ресурсов или подписку не поддерживается.
• Если вы уже переместили рабочую область, отключите все активные правила в разделе "Аналитика " и повторно создайте их через пять минут. Это решение должно быть эффективным в большинстве случаев, хотя оно не поддерживается и выполняется по вашему собственному риску.

Проверка клиента Microsoft Entra

Исходные и конечные подписки рабочей области должны существовать в одном клиенте Майкрософт. Используйте Azure PowerShell, чтобы убедиться, что обе подписки имеют один и тот же идентификатор клиента Entra.

Портал

Найдите клиент Microsoft Entra для исходных и целевых подписок.

REST API

Чтобы получить идентификатор клиента для исходных и целевых подписок, вызовите подписки — Get API:

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

CLI

Выполните команду az account tenant:

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

PowerShell

Выполните команду Get-AzSubscription:

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

Удалить решения

Портал

1. Откройте меню для группы ресурсов, в которой установлены все решения.
2. Выберите решения для удаления.
3. Выберите " Удалить ресурсы ", а затем подтвердите удаление ресурсов, нажав кнопку "Удалить".

REST API

Чтобы удалить решение, вызовите API удаления ресурсов:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

CLI

Чтобы удалить решения, выполните команду az resource delete . Необходимо указать имя ресурса, типа ресурса и группы ресурсов для решения, которое необходимо удалить:

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

PowerShell

Чтобы удалить решения, используйте командлет Remove-AzResource , как показано в следующем примере:

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

Удаление правил генерации оповещений для решения "Запуск и остановка виртуальных машин"

Чтобы удалить решение для запуска и остановки виртуальных машин, необходимо также удалить правила генерации оповещений , созданные решением.

Портал

1. Откройте меню Монитор и выберите пункт Оповещения.

2. Выберите " Управление правилами генерации оповещений".

3. Выберите следующие три правила генерации оповещений и нажмите кнопку "Удалить".

   • AutoStop_VM_Child
   • ScheduledStartStop_Parent
   • SequencedStartStop_Parent

   

REST API

Удалите следующие правила генерации оповещений, вызвав правила запланированного запроса — удаление API:

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

CLI

Удалите следующие правила генерации оповещений , выполнив команду az monitor scheduled-query delete :

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

PowerShell

Удалите следующие правила генерации оповещений , выполнив команду Remove-AzScheduledQueryRule :

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

Отмена связывания учетной записи службы автоматизации

Портал

См. статью "Удаление автономной учетной записи службы автоматизации", связанной с рабочей областью.

REST API

Вызовите связанные службы — удаление API.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

CLI

Не поддерживается.

PowerShell

Не поддерживается.

Перемещение рабочей области

Портал

1. Откройте меню Рабочие области Log Analytics и выберите рабочую область.

2. На странице "Обзор" выберите пункт "Изменить" рядом с именем группы ресурсов или подписки.

3. Откроется новая страница со списком ресурсов, связанных с рабочей областью. Выберите ресурсы, которые нужно переместить в ту же целевую подписку и группу ресурсов, что и рабочую область.

4. Выберите целевую подписку и группу ресурсов. Если вы перемещаете рабочую область в другую группу ресурсов в той же подписке, параметр Подписка не будет отображаться.

5. Нажмите кнопку "ОК ", чтобы переместить рабочую область и выбранные ресурсы.

   

REST API

Чтобы переместить рабочую область, вызовите API ресурсов — перемещение ресурсов.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

CLI

Чтобы переместить рабочую область, выполните команду az resource move :

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

PowerShell

Чтобы переместить рабочую область, выполните командлет Move-AzResource , как показано в следующем примере:

Move-AzResource -ResourceId "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

Внимание

После операции перемещения удаленные решения и ссылка учетной записи службы автоматизации должны быть перенастроены, чтобы вернуть рабочую область к предыдущему состоянию.

Следующие шаги

Список ресурсов, поддерживающих операцию перемещения, см. в разделе "Поддержка операций перемещения" для ресурсов.